Valorant : l’anti-cheat Vanguard passe à la demande et quitte le boot Windows

Valorant : l’anti-cheat Vanguard passe à la demande et quitte le boot Windows

**Riot transforme Vanguard en anti-cheat à la demande. Exit le pilote kernel permanent au démarrage de Windows, mais l’accès nécessite Windows 11 25H2 et un arsenal de sécurités matérielles que beaucoup de PC gaming ne satisfaisent pas sans intervention dans le BIOS.**

Le pilote qui ne dormait jamais

Je n’aime pas les pilotes kernel qui s’installent comme des squatteurs. Depuis le lancement de Valorant en 2020, Vanguard faisait partie de cette catégorie : il s’installait à chaque démarrage de Windows, pointait son nez dans la barre des tâches, et refusait de partir sans un redémarrage complet si vous le désactiviez manuellement. J’ai couvert cette décision à l’époque, et elle sentait déjà le compromis brut de décoffrage : pour garantir l’intégrité compétitive, Riot a envahi le ring 0 de votre système d’exploitation. Cinq ans plus tard, l’industrie n’a toujours pas résolu le dilemme entre confiance utilisateur et sécurité anti-triche, mais Riot propose enfin une porte de sortie. Vanguard passe en mode à la demande. Le driver ne se chargera plus au boot de Windows, mais uniquement au lancement d’un titre Riot – Valorant, League of Legends, ou le futur 2XKO. C’est une concession majeure. Elle a un prix. Et ce prix ne se paie pas en euros, mais en exigences matérielles draconiennes qui vont faire grincer des dents plus d’un possesseur de PC custom.

Ce qui change sur le papier

Specifications

Exigence principaleDescription
Système d’exploitationWindows 11, version 25H2 ou ultérieure
Démarrage sécuriséSecure Boot activé en mode UEFI
Module de confianceTPM 2.0 activé (fTPM/PTT selon la plateforme)
Virtualisation sécuriséeVBS et HVCI (Core Isolation / Memory Integrity) actifs
Isolation des entrées-sortiesIOMMU activéVT-d (Intel) ou AMD-Vi
Vérification au lancementRuntime Driver Attestation (Vanguard Pre-Check)

La vraie histoire : pourquoi Vanguard squatteait le boot

La logique de 2020 était implacable. Un anti-cheat qui ne se charge qu’avec l’exécutable du jeu est un anti-cheat que l’on contourne. Si vous pouvez lancer un cheat avant que Vanguard ne s’installe, le jeu est déjà compromis. C’est la faiblesse structurelle des systèmes qui ne tournent qu’en parallèle du jeu. Riot a donc décidé d’arriver le premier, à chaque boot, pour surveiller tout ce qui se charge ensuite. Vanguard s’accrochait au démarrage de Windows, s’insérait dans le kernel, et restait en sentinelle. Vous pouviez le désactiver via son icône dans la barre des tâches, certes, mais pour rejouer il fallait impérativement redémarrer la machine afin que le driver reprenne sa place au niveau le plus privilégié du système. C’était un bras de fer entre commodité et intégrité compétitive. Pendant cinq ans, l’intégrité a gagné haut la main.

J’ai vu ce film avant. PunkBuster, à la fin des années 1990, installait déjà des services résidents qui surveillaient la mémoire. Certaines itérations d’EasyAntiCheat ont tenté des approches proches du kernel. Mais rarement avec une telle constance et un tel niveau de privilèges système maintenus en permanence. Le problème, c’est qu’un pilote kernel toujours actif est une cible. Il constitue une surface d’attaque permanente pour quiconque cherche à exploiter une vulnérabilité dans le driver lui-même. Les joueurs le savaient. Les administrateurs système le savaient. Les utilisateurs de Linux en dual-boot le subissaient au quotidien, ce pilote planté dans leur OS même quand ils ne jouaient pas. La promesse de Riot était simple : la sécurité justifiait l’intrusion. La promesse tournait depuis cinq ans au ronronnement constant d’un driver qui ne dormait jamais.

Le mode à la demande, enfin

Aujourd’hui, Riot cède du terrain. Le mode à la demande signifie concrètement que le driver Vanguard ne se charge plus au démarrage de Windows. Il s’active lorsque vous lancez un jeu Riot, et reste présent durant la session de jeu. Plus besoin de redémarrer votre machine si vous avez désactivé l’anti-cheat pour jouer à autre chose ou pour libérer des ressources. Plus cette icône orange qui veille dans la barre des tâches alors que vous éditez une feuille de calcul ou compilez du code. C’est une victoire tangible pour l’autonomie de l’utilisateur, et une réduction immédiate de la surface d’attaque du système : un driver qui ne tourne pas est un driver qu’on ne peut pas exploiter à votre insu.

Mais attention à ne pas confondre absence et abolition. Vanguard reste un driver kernel ring-0. Il se contente d’arriver plus tard à la fête. La différence est subtile mais essentielle pour la vie privée et la stabilité système au quotidien. Riot ne supprime pas l’anti-cheat de haut niveau ; il en contrôle le déclenchement. C’est un changement de philosophie important, qui reconnaît implicitement que la surveillance permanente du boot était un luxe trop lourd pour le joueur moyen. Le revers de la médaille, c’est que pour se passer de ce gardien permanent, Riot exige que votre machine prouve sa propre innocence via un mécanisme baptisé Vanguard Pre-Check.

La taxe de sécurité matérielle

Le mécanisme qui autorise ce changement s’appelle Vanguard Pre-Check. Et ce n’est pas une option que l’on active en cliquant sur un bouton dans le client. C’est un système d’attestation matérielle et logicielle qui vérifie que votre machine est suffisamment verrouillée pour se passer de la surveillance permanente au boot. Riot remplace son propre policier par la chaîne de confiance de Windows 11. Si vous ne remplissez pas les conditions, le mode à la demande reste grisé, et vous restez sur le modèle legacy : pilote au démarrage, reboot obligatoire. Voici ce que Riot exige, et ce que cela signifie pour votre installation.

Cover art for Valorant
Cover art for Valorant

Windows 11 25H2 : la ligne de démarcation

D’abord, le système d’exploitation. Riot exige Windows 11 en version 25H2. Si vous êtes encore sur Windows 10, ou même sur Windows 11 24H2, vous êtes hors course. C’est une ligne tracée dans le sable qui enterre définitivement la génération précédente pour cette fonctionnalité. Au moment de ces lignes, 25H2 n’est pas encore déployé sur l’ensemble du parc installé, ce qui signifie que la plupart des joueurs ne pourront même pas activer le mode à la demande avant d’avoir mis à jour leur OS. La mise à jour est gratuite, certes, mais elle impose un calendrier que vous ne contrôlez pas. Vérifiez votre build avec winver avant de chercher une option qui n’existera tout simplement pas dans vos menus.

Secure Boot et le cauchemar du dual-boot

Ensuite, Secure Boot. Il doit être activé dans l’UEFI. Sur un PC pré-assemblé vendu avec Windows 11, c’est souvent le cas par défaut. Sur une machine montée maison, particulièrement chez les enthousiastes qui ajustent chaque paramètre BIOS depuis des années, il est fréquemment désactivé. Pourquoi ? Parce que Secure Boot bloque les systèmes d’exploitation non signés, certains pilotes legacy de cartes de capture, et complique sérieusement la vie des distributions Linux. L’activer peut être aussi simple qu’un switch dans le BIOS, ou aussi complexe qu’une réinstallation de votre bootloader avec des clés personnalisées si vous aviez purgé les clés usine. Si vous dual-bootez vers une distribution Linux, préparez-vous à des nuits blanches. Secure Boot n’est pas impossible à gérer avec Linux, mais il transforme une installation standard en exercice de cryptographie appliquée.

TPM 2.0 : le fantôme des stutters AMD

Le TPM 2.0 est le troisième pilier. Présent sur quasiment toutes les cartes mères depuis 2016, il s’appelle fTPM sur les plateformes AMD et PTT sur Intel. Le souci, c’est que pendant longtemps, les joueurs l’ont désactivé. Je me souviens des soucis de micro-stuttering et de crackling audio sur les Ryzen 3000 et 5000 causés par des implémentations fTPM buguées dans les BIOS de certaines marques. Beaucoup avaient trouvé leur salut en coupant le TPM pour retrouver des frame times stables. Si vous faites partie de ceux-là, il va falloir choisir entre la stabilité legacy que vous aviez affinée et l’anti-cheat moderne. Activer le TPM est généralement indolore sur les plateformes récentes, mais il symbolise ce conflit entre optimisation brute et sécurité intégrée.

VBS/HVCI : l’éléphant dans la pièce

Le quatrième prérequis est le plus lourd en conséquences : VBS, Virtualization-Based Security, et son bras armé HVCI, aussi appelé Memory Integrity dans l’interface Windows. Lorsque ce mécanisme est actif, Windows use un hyperviseur pour isoler les processus critiques du kernel. C’est excellent contre les malwares qui ciblent les pilotes. C’est moins anodin pour les performances de jeu sur certaines architectures. Sans le support matériel MBEC, présent de manière robuste à partir des architectures récentes, HVCI force le système à émuler cette protection logiciellement. Le coût peut se traduire par une baisse de performances notable dans les scénarios CPU-bound, et surtout par une dégradation des frame times qui tue la régularité tant prisée des joueurs compétitifs. Sur un processeur d’ancienne génération qui tient péniblement les 144 fps constants sur Valorant, activer HVCI peut faire basculer l’expérience du fluide au saccadé. Avant d’activer quoi que ce soit, ouvrez Windows Sécurité, appareil, isolation du cœur, et testez. Activez Memory Integrity, jouez une partie, observez. Si votre ressenti change, vous saurez ce qui vous attend.

IOMMU : quand la virtualisation trinque

Enfin, l’IOMMU – VT-d chez Intel, AMD-Vi chez AMD. Cette technologie d’isolation des périphériques d’entrée-sortie est cruciale pour empêcher les attaques DMA via des périphériques compromis. Elle est aussi souvent désactivée par défaut sur les cartes mères grand public, car elle peut interférer avec la virtualisation de type 2 ou bouleverser l’attribution des groupes PCIe pour ceux qui font du GPU passthrough. Si vous streamez en utilisant une carte de capture via une solution de type VFIO, ou si vous faites tourner des machines virtuelles professionnellement, l’activation d’IOMMU risque de modifier vos mappings et de casser des configurations affinées au fil des années. Vérifier la compatibilité de votre flux de travail avant de valider ce prérequis n’est pas une option, c’est une obligation si vous ne voulez pas passer votre week-end à reconfigurer votre rig.

Runtime Driver Attestation : la substitution logique

Remplaçant la surveillance au boot, Riot instaure ce qu’elle appelle la Runtime Driver Attestation. Au lieu de charger Vanguard en premier pour voir ce qui suit, le système vérifie à l’instant T, au lancement du jeu, quels pilotes sont actuellement chargés dans le kernel. Si un driver de triche est déjà présent en mémoire, le Pre-Check le détecte et bloque le lancement. C’est une inversion du modèle de confiance, mais elle repose entièrement sur l’intégrité de la chaîne matérielle. D’où les exigences Secure Boot, TPM et IOMMU. Sans cette base de confiance hardware, la vérification runtime perd sa valeur, car un attaquant pourrait modifier le système avant même que l’attestation ne commence. Riot délègue donc la garde du corps à l’infrastructure de sécurité de Windows 11. C’est plus élégant que de maintenir un pilote propriétaire en permanence. C’est aussi un transfert de responsabilité : votre machine doit être moderne et verrouillée pour mériter cette confiance.

Screenshot from Valorant
Screenshot from Valorant

Avant d’activer : le checklist brutal

Voici la marche à suivre si vous voulez goûter au mode à la demande. Première étape : appuyez sur Windows + R, tapez winver, et vérifiez que vous êtes bien sur Windows 11 25H2. Pas la bonne version ? Arrêtez tout, attendez la mise à jour ou forcez-la via l’assistant d’installation. Deuxième étape : redémarrez, entrez dans le BIOS – généralement Suppr ou F2 selon votre carte mère — et vérifiez que le mode de démarrage est UEFI, que CSM est désactivé, que Secure Boot est sur Enabled avec les clés d’usine restaurées si vous les aviez purgées. Activez le TPM 2.0, sous le nom fTPM ou PTT selon le fabricant. Activez IOMMU, VT-d ou AMD-Vi dans les options de virtualisation avancées. Sauvegardez, boolez Windows. Troisième étape : allez dans Windows Sécurité, sécurité de l’appareil, isolation du cœur, et activez l’intégrité de la mémoire. Redémarrez une nouvelle fois. Lancez Valorant. Si le client Riot vous propose le mode à la demande, c’est gagné. Si ce n’est pas le cas, c’est qu’un maillon de la chaîne manque, et il vous faudra reprendre ce checklist point par point.

Si vous activez tout cela et que vous constatez une dégradation des performances, désactivez les éléments un par un pour identifier le coupable. Dans la grande majorité des cas, ce sera HVCI. Vous devrez alors faire un choix : préférez-vous le confort du mode à la demande, ou les performances brutes du mode legacy ? Riot ne force pas la main pour l’instant, mais je doute que le mode boot permanent soit maintenu éternellement. L’industrie marche dans une direction, et elle ne fait pas demi-tour.

Le contexte industriel : la confiance s’achète en silicium

Ce virage de Riot s’inscrit dans une tendance plus large que le seul gaming compétitif. La confiance ne se gère plus seulement par du logiciel ; elle s’ancre dans le silicium. Microsoft pousse ses technologies VBS et Pluton, Apple verrouille ses systèmes via le Secure Enclave. Riot, en exigeant TPM et Secure Boot, ne fait pas dans l’originalité : elle emprunte la voie tracée par les géants de l’OS et les standards d’entreprise. C’est plus sain que de maintenir un pilote propriétaire en permanence dans le noyau. C’est aussi une reconnaissance implicite que l’anti-cheat ne peut pas tout faire seul. En déplaçant la vérification vers la chaîne de boot sécurisée de Windows 11, Riot réduit sa propre surface d’attaque tout en rassurant une partie de sa base utilisateur.

J’étais prêt à qualifier ce changement de cosmétique jusqu’à ce que je comprenne la profondeur du Pre-Check. Ce n’est pas un pansement. C’est une refonte architecturale de la relation entre le jeu et le système. Elle confirme un pattern que j’observe depuis quelques années : le PC gaming n’est plus une machine sauvagement libre et modifiable. Il devient une plateforme de calcul trustée, où chaque couche du système atteste de son intégrité à la suivante. C’est la fin de l’ère du PC ouvert tel que nous l’avons connu dans les années 2000. Pour le meilleur ou pour le pire, le gaming compétitif exige désormais des machines conformes, pas seulement puissantes.

Pour qui, et pour qui pas

Pour qui est-ce fait ? D’abord pour les joueurs qui partagent leur machine entre travail, Linux et gaming. Le mode à la demande élimine la friction du reboot constant et retire ce pilote omniprésent quand vous ne jouez pas. Pour les utilisateurs soucieux de la vie privée, c’est une réduction mesurable de la surface d’attaque : un driver dormant est moins exposé qu’un driver réveillé en permanence. C’est aussi une meilleure nouvelle pour la stabilité globale du système ; moins de drivers kernel résidents, moins de risques de conflit avec d’autres logiciels bas niveau.

Mais pour qui ce n’est PAS fait ? Pour les configurations legacy. Si votre PC date d’avant 2020, ou si vous avez désactivé toutes ces sécurités pour grappiller des performances ou préserver une installation Linux exotique, le mode à la demande devient un mur. Vous devrez soit sacrifier des performances sur l’autel de HVCI, soit rester sur le mode legacy — le boot driver permanent — que Riot continue de supporter pour l’instant. Les joueurs ultra-compétitifs qui overclockent au deliddage près et tournent sur des Windows allégés vont hurler à la dictature matérielle. Ils ne sont pas totalement dans le faux. Ce changement transforme l’anti-cheat en outil de discrimination hardware, et il risque de creuser le fossé entre PC grand public et stations optimisées.

Bilan : le compromis rééquilibré

L
Lan Di
Publié le 25/06/2026
20 min de lecture
Tech
🎮
🚀

Envie de passer au niveau supérieur ?

Accédez à des stratégies exclusives, des astuces cachées et des analyses pro que nous ne partageons pas publiquement.

Contenu bonus exclusif :

Guide stratégique ultime Tech + Astuces pro hebdomadaires

Livraison instantanéePas de spam, désinscription à tout moment